Departament Obrony: „Hack Pentagon”, proszę!

Rząd federalny chce zatrudnić hakerów do zwiększenia bezpieczeństwa.

Departament Obrony ogłosił w czwartek, że programiści mogą zarejestrować się w projekcie „Hack the Pentagon”, nowym partnerstwie z HackerOne, które zaspokoi potrzeby bezpieczeństwa DOD.

Program pilotażowy „Bug bounty” będzie trwał od 18 kwietnia do 12 maja, a rejestracja jest obecnie dostępna. Hakerzy mogą ubiegać się o wybór przez HackerOne, który prowadzi proces selekcji.

Dlaczego więc rząd zatrudnia hakerów w celu zwiększenia bezpieczeństwa? To nic nowego. Wiele firm organizuje hackathony, oferując nagrody każdemu programiście genialnemu i starannemu na tyle, by dziurawić się w oprogramowaniu. Niektórym z nich oferuje się w końcu pracę, jeśli są wystarczająco dobrzy.

„Pilot Hack Pentagonu jest wzorowany na podobnych wyzwaniach prowadzonych przez niektóre z największych firm w kraju w celu poprawy bezpieczeństwa i dostarczania sieci, produktów i usług cyfrowych” - mówi sekretarz prasowy Pentagon Peter Cook. „Zapewniając ścieżkę prawną odpowiedzialnego ujawniania luk w zabezpieczeniach, nagrody za błędy angażują społeczność hakerów do przyczyniania się do bezpieczeństwa Internetu”.

HackerOne jest szczególnie „renomowaną” firmą, jak ujął to Cook, z setkami klientów, w tym Twitter, Yahoo !, Snapchat i Uber, którzy polegają na tym, aby znaleźć luki, zanim zrobią to źli ludzie.

Alex Rice, dyrektor ds. Technicznych i założyciel HackerOne, opowiada Odwrotność że kilkaset hakerów będzie zaangażowanych w program pilotażowy - aplikacje są otwarte do połowy kwietnia, więc nie ma żadnych ostatecznych liczb w tym piśmie. HackerOne będzie łączyć DOD z sprawdzoną społecznością hakerów, która będzie zapraszana do udziału w zaproszeniach, i będzie pracować nad identyfikacją obszarów podatności w DOD.

Nawet w przypadku organizacji o znacznym budżecie bezpieczeństwa luki wciąż się udają, powiedział Rice. „Nadal istnieje poważny niedobór talentów i narzędzi cyberbezpieczeństwa. DOD jest jak każda inna organizacja zajmująca się rzeczywistością, w której istnieje luka między tradycyjnymi „najlepszymi” praktykami, a następnie tym, co ludzka inteligencja jest w stanie zrobić.Więc te programy nagród znajdują się w czołówce w próbach zamknięcia tej luki poprzez zastosowanie najlepszej ludzkiej inteligencji do tych luk.

„Nawet DOD nie może zatrudniać wystarczającej liczby osób do ochrony przed przeciwnikami, z którymi się spotykają. Tak więc mówi DOD „mamy już najlepszy zespół ds. Bezpieczeństwa, ale przyznajemy, że może nie wystarczyć.” Po prostu warto zapytać, co można przegapić i mieć jak najwięcej oczu ”.

Programy nagród za błędy, w których deweloperzy zachęcają hakerów do znajdowania błędów i niepewności w ich oprogramowaniu, są od pewnego czasu szeroko stosowane wśród firm technologicznych. Będzie to pierwszy raz, kiedy rząd federalny wykorzysta taki program.

„To naprawdę fenomenalne, gdy rząd Stanów Zjednoczonych podejmuje ten krok, zanim zrobi to tak wiele prywatnych gałęzi przemysłu”, mówi Rice, który kierował zespołem ds. Bezpieczeństwa usług na Facebooku przed uruchomieniem HackerOne. „Od lat jest to wiodąca praktyka w firmach technologicznych i zaczynasz dostrzegać jej rozwój w innych branżach, ale większość pionów sektora prywatnego pozostaje w tyle za rządem USA. Niesamowite jest widzieć ich innowacje w tej przestrzeni. Mam nadzieję, że to znak nadchodzących wydarzeń. ”